1.一種有效的可信OpenSSH的實現(xiàn)方法，其特征在于：方法涉及的組件包括功能增強的參數(shù)協(xié)商模塊和功能增強的會話密鑰交換模塊，方法的具體步驟如下：?

步驟1，對身份認證算法協(xié)商串的形成過程進行修改：增加三個候選項，分別用變量ssh-TPM-TPM、ssh-TPM-option和ssh-option-TPM來表示；可信客戶端與可信服務(wù)器端根據(jù)自己的策略分別構(gòu)造一個身份認證算法協(xié)商串，每個協(xié)商串用大括號括起來，可選擇的身份認證算法協(xié)商串有6種：自己可提供平臺狀態(tài)信息同時要求對方必須提供平臺狀態(tài)信息的身份認證算法協(xié)商串{ssh-option-TPM，ssh-TPM-TPM}，自己不能提供平臺狀態(tài)信息但要求對方必須提供平臺狀態(tài)信息的身份認證算法協(xié)商串{ssh-option-TPM}，自己可提供平臺狀態(tài)信息而且不要求對方必須提供平臺狀態(tài)信息的身份認證算法協(xié)商串{ssh-rsa，ssh-dss，ssh-TPM-option}、{ssh-dss，ssh-rsa，ssh-TPM-option}，自己不能提供平臺狀態(tài)信息而且不要求對方必須提供平臺狀態(tài)信息的身份認證算法協(xié)商串{ssh-rsa，ssh-dss}、{ssh-dss，ssh-rsa}；?

步驟2，對選擇身份認證算法的過程進行修改：可信服務(wù)器端和可信客戶端在收到對方發(fā)送的協(xié)商數(shù)據(jù)包后，首先將數(shù)據(jù)包中出現(xiàn)的ssh-TPM-option和ssh-option-TPM分別用ssh-option-TPM和ssh-TPM-option替換，然后使用SSH標(biāo)準(zhǔn)協(xié)議中定義的匹配規(guī)則確定要采用的身份認證算法；?

步驟3，在可信客戶端增加兩個變量，分別用客戶類型和服務(wù)器類型表示，可信客戶端在確定所采用的身份認證算法之后，但在進行會話密鑰交換之前，要對這兩個變量進行設(shè)置，如果選定的身份認證算法是“ssh-TPM-TPM”，則將客戶類型和服務(wù)器類型均設(shè)置為“TPM”，如果選定的身份認證算法是“ssh-option-TPM”，則將客戶類型設(shè)置空且將服務(wù)器類型設(shè)置為“TPM”，如果選定的身份認證算法是“ssh-TPM-option”，則將客戶類型設(shè)置“TPM”且將服務(wù)器類型設(shè)置為空，如果選定的身份認證算法是“ssh-rsa”或“ssh-dss”，則將客戶類型和服務(wù)器類型均設(shè)置為空；?

步驟4，在可信服務(wù)器端增加兩個變量，分別用客戶類型和服務(wù)器類型表示，可信服務(wù)器端在確定所采用的身份認證算法之后，但在進行會話密鑰交換之前，要對這兩個變量進行設(shè)置，如果選定的身份認證算法是“ssh-TPM-TPM”，則將客戶類型和服務(wù)器類型均設(shè)置為“TPM”，如果選定的身份認證算法是“ssh-option-TPM”，則將服務(wù)器類型設(shè)置空且將客戶類型設(shè)置為“TPM”，如?果選定的身份認證算法是“ssh-TPM-option”，則將客戶類型設(shè)置空且將服務(wù)器類型設(shè)置為“TPM”，如果選定的身份認證算法是“ssh-rsa”或“ssh-dss”，則將客戶類型和服務(wù)器類型均設(shè)置為空；?

步驟5，對可信客戶端會話密鑰交換處理模塊進行修改；?

步驟6，對可信服務(wù)器端密鑰交換處理模塊進行修改；?

所述步驟5的具體過程為：?

步驟11，可信客戶端收到服務(wù)器端發(fā)送來的p和g后，首先選擇一個小于p且大于1的正整數(shù)x，計算k^c＝g^x?mod?p，如果客戶類型不等于“TPM”，則設(shè)ss^c＝k^c，進入步驟12；如果客戶類型等于“TPM”，則調(diào)用客戶平臺狀態(tài)信息生成模塊來生成ss^c，進入步驟12；其中p和g為Diffie-Hellman公開密鑰算法的全局公開參數(shù)，ss^c表示一個字符串，k^c為客戶端生成的值；?

步驟12，可信客戶端發(fā)現(xiàn)可信服務(wù)器端發(fā)送數(shù)據(jù)包后，首先接收PK^s，k^s，Sign^s，計算k^cs＝(k^s)^x?mod?p并調(diào)用一個哈希計算模塊來計算pn_string||PK^s||dh_string||k^c||k^s||k^cs的哈希值hash^cs；如果服務(wù)器類型不等于“TPM”，則調(diào)用OpenSSH原來的驗證模塊來驗證Sign^s，如果驗證失敗則終止與服務(wù)器端的通信，驗證成功進入步驟13；如果服務(wù)器類型等于“TPM”，則調(diào)用客戶端驗證服務(wù)器平臺狀態(tài)信息模塊對Sign^s進行驗證，驗證失敗則終止與服務(wù)器端的通信，驗證成功就進入步驟13；其中符號||表示鏈接，變量pn_string代表V_C||V_S||client_pn||server_pn，變量dh_string代表min||n||max||p||g，V_C和V_S分別代表客戶端的標(biāo)識符和服務(wù)器端的標(biāo)識符，client_pn和server_pn分別代表客戶端的參數(shù)協(xié)商結(jié)果和服務(wù)器端的參數(shù)協(xié)商結(jié)果，min、n、max為客戶端確定的算法常數(shù)，用于發(fā)送給服務(wù)器生成p和g，PK^s為服務(wù)器端的公鑰，k^s為服務(wù)器端生成的值，Sign^s為服務(wù)器端生成的簽名信息，Sign^c為客戶端生成的簽名信息；?

步驟13，發(fā)送“會話密鑰交換結(jié)束”數(shù)據(jù)包給服務(wù)器端，在接收到服務(wù)器端的“會話密鑰交換結(jié)束”數(shù)據(jù)包后，結(jié)束密鑰協(xié)商過程；?

所述步驟6的具體過程為：?

步驟21，服務(wù)器將p和g發(fā)送給可信客戶端后，就等待可信客戶端發(fā)送數(shù)據(jù)包；當(dāng)發(fā)現(xiàn)可信客戶端發(fā)送數(shù)據(jù)包后，首先接收k^c，如果客戶類型不等于“TPM”，則進入步驟22，否則調(diào)用服務(wù)器驗證客戶平臺狀態(tài)信息模塊，如果驗證通過，則判斷服務(wù)器類型是否等于“TPM”，如果等于則設(shè)置然后進入步驟22，如果不等于則進入步驟22；其中為服務(wù)器端的身份證?明密鑰AIK的公鑰；?

步驟22，選擇一個小于p且大于1的正整數(shù)y，計算k^s＝g^y?mod?p和k^sc＝(k^c)^ymodp，并計算pn_string||PK^s||dh_string||k^c||k^s||k^sc的哈希值hash^s，如果可信服務(wù)器類型不等于“TPM”，則調(diào)用OpenSSH原來的簽名模塊生成簽名結(jié)果Sign^s，設(shè)ss^s＝(PK^s，k^s，Sign^s)，然后進入步驟23；如果可信服務(wù)器類型等于“TPM”，則調(diào)用服務(wù)器平臺狀態(tài)信息生成模塊生成ss^s，然后進入步驟23；其中ss^s表示一個字符串；?

步驟23，將ss^s發(fā)送給可信客戶端，然后再發(fā)送“會話密鑰交換結(jié)束”數(shù)據(jù)包給可信客戶端，在接收到可信客戶端的“會話密鑰交換結(jié)束”數(shù)據(jù)包后，結(jié)束密鑰協(xié)商過程。?